Aktor ancaman yang dikenal sebagai Werewolf langka (Sebelumnya Rare Wolf) telah dikaitkan dengan serangkaian serangan dunia maya yang menargetkan Rusia dan negara -negara Persemakmuran Negara -negara Independen (CIS).
“Fitur khas dari ancaman ini adalah bahwa para penyerang mendukung menggunakan perangkat lunak pihak ketiga yang sah daripada pengembangan binari berbahaya mereka sendiri,” kata Kaspersky. “Fungsionalitas jahat dari kampanye yang dijelaskan dalam artikel ini diimplementasikan melalui file perintah dan skrip PowerShell.”
Maksud dari serangan tersebut adalah untuk membangun akses jarak jauh ke host yang dikompromikan, dan kredensial siphon, dan menggunakan penambang cryptocurrency XMRIG. Kegiatan ini berdampak pada ratusan pengguna Rusia yang mencakup perusahaan industri dan sekolah teknik, dengan sejumlah kecil infeksi juga dicatat di Belarus dan Kazakhstan.
Rare Werewolf, juga dikenal dengan nama pustakawan Ghouls dan Rezet, adalah moniker yang ditugaskan untuk kelompok ancaman persisten canggih (APT) yang memiliki rekam jejak organisasi pemogokan di Rusia dan Ukraina. Itu diyakini aktif setidaknya sejak 2019.
Menurut BI.Zone, aktor ancaman memperoleh akses awal menggunakan email phishing, memanfaatkan pijakan untuk mencuri dokumen, data telegram messenger, dan menjatuhkan alat seperti monitor karyawan MIPKO, WebBrowserPassView, dan kontrol pembela untuk berinteraksi dengan sistem yang terinfeksi, kata sandi panen, dan menonaktifkan perangkat lunak antivirus.
Set serangan terbaru yang didokumentasikan oleh Kaspersky mengungkapkan penggunaan email phishing sebagai kendaraan pengiriman malware, menggunakan arsip yang dilindungi kata sandi yang berisi file yang dapat dieksekusi sebagai titik awal untuk mengaktifkan infeksi.
Hadir dalam arsip adalah pemasang yang digunakan untuk menggunakan alat yang sah yang disebut minimizer baki 4T, serta muatan lainnya, termasuk dokumen PDF yang meniru pesanan pembayaran.
“Perangkat lunak ini dapat meminimalkan aplikasi yang berjalan ke baki sistem, yang memungkinkan penyerang mengaburkan kehadiran mereka pada sistem yang dikompromikan,” kata Kaspersky.
Muatan perantara ini kemudian digunakan untuk mengambil file tambahan dari server jarak jauh, termasuk kontrol bek dan Blat, utilitas yang sah untuk mengirim data curian ke alamat email yang dikendalikan oleh penyerang melalui SMTP. Serangan juga ditandai dengan penggunaan perangkat lunak desktop jarak jauh AnyDesk, dan skrip batch Windows untuk memfasilitasi pencurian data dan penyebaran penambang.
Aspek yang menonjol dari skrip batch adalah bahwa ia meluncurkan skrip PowerShell yang menggabungkan kemampuan untuk secara otomatis membangunkan sistem korban pada jam 1 pagi waktu setempat dan memungkinkan penyerang akses jarak jauh ke sana untuk jendela empat jam melalui AnyDesk. Mesin kemudian ditutup pada pukul 5 pagi melalui tugas yang dijadwalkan.
“Ini adalah teknik umum untuk memanfaatkan perangkat lunak sah pihak ketiga untuk keperluan berbahaya, yang membuat mendeteksi dan menghubungkan aktivitas apt lebih sulit,” kata Kaspersky. “Semua fungsi berbahaya masih bergantung pada installer, perintah, dan skrip PowerShell.”
Pengungkapan itu muncul ketika teknologi positif mengungkapkan bahwa kelompok kejahatan dunia maya yang dimotivasi secara finansial dijuluki Darkgaboon telah menargetkan entitas Rusia menggunakan ransomware Lockbit 3.0. Darkgaboon, pertama kali ditemukan pada Januari 2025, dikatakan beroperasi sejak Mei 2023.
Serangan itu, kata perusahaan itu, menggunakan email phishing yang mengandung file arsip yang berisi dokumen umpan RTF dan file screensaver Windows untuk menjatuhkan Lockbit Encryptor dan Trojans seperti Xworm dan Revenge Rat. Penggunaan perkakas yang tersedia dipandang sebagai upaya dari penyerang untuk berbaur dengan aktivitas penjahat cyber yang lebih luas dan menantang upaya atribusi.
“Darkgaboon bukan klien dari Lockbit Raas Service dan bertindak secara mandiri, seperti yang ditunjukkan oleh penggunaan versi ransomware Lockbit yang tersedia untuk umum, tidak adanya jejak exfiltrasi data di perusahaan yang diserang, dan ancaman tradisional untuk menerbitkan informasi curian pada [data leak site] Portal, “kata peneliti teknologi positif Victor Kazakov.
